MuddyWater: La ciberamenaza que acecha a Medio Oriente y Asia
Cómo y cuándo ocurrieron los ciberataques
Según los hallazgos publicados por Cisco Talos, el grupo de hackers conocido como MuddyWater, ha estado llevando a cabo intentos de ataques de phishing contra Turquía y otros países asiáticos. Este conglomerado, que ha sido vinculado al Ministerio de Inteligencia y Seguridad de Irán por el Comando Cibernético de Estados Unidos, ha sido identificado ahora como múltiples subgrupos diferentes que actúan bajo el nombre de MuddyWater en lugar de un solo actor de amenazas unificado.
El grupo de hackers ha estado apuntando a estos países utilizando un troyano de acceso remoto (RAT) basado en archivos de script de Windows (WSF) llamado "SloughRAT", según Cisco Talos. Utilizando esta forma de malware, MuddyWater ha intentado llevar a cabo espionaje, robo de propiedad intelectual y ataques de ransomware contra los países de la Península Arábiga en los que se han centrado. Los actores maliciosos realizaron dos campañas contra Turquía en noviembre de 2021 y atacaron a Armenia en junio del mismo año utilizando los mismos tipos de archivos ejecutables de Windows.
En abril de 2021, Cisco Talos observó que este grupo también lanzó un ataque contra Pakistán a través de dos sistemas de entrega diferentes: uno utilizando un descargador basado en PowerShell para aceptar y ejecutar comandos PS1 adicionales desde el servidor C2 y otro utilizando un punto de infección de documentos de malware que afirmaba ser parte de un caso judicial en Pakistán.
El grupo, también conocido como "MERCURY" o "Static Kitten", ha estado activo desde al menos 2017 y es conocido por utilizar ransomware en sus ataques anteriores. Según la firma de ciberseguridad, el grupo de amenazas ha utilizado ataques al sistema de nombres de dominio (DNS) en sus víctimas utilizando "PowerShell, Visual Basic y JavaScript scripting junto con binarios "living-off-the-land" (LoLBins) y utilidades de conexión remota para ayudar en las etapas iniciales de la infección".
MuddyWater como una colección de grupos
Según los hallazgos de Cisco Talos, el grupo de hackers "MuddyWater" es en realidad una combinación de equipos más pequeños que se enfocan en regiones específicas, como la Península Arábiga y Asia, utilizando las diferentes técnicas de ataque mencionadas anteriormente. Aunque MuddyWater está conformado por subgrupos más pequeños, Cisco Talos cree que algunos de estos equipos son contratados para llevar a cabo ataques por los líderes y organizadores de MuddyWater. Una razón para esta creencia es que se han identificado cadenas y marcas compartidas entre MuddyWater y los grupos de amenazas Phosphorus/Charming Kitten APT.
Estas técnicas compartidas entre los equipos más pequeños parecen ser preferidas por los actores amenazantes en determinadas regiones, lo que los hace identificables como pertenecientes a áreas distintas de otros ataques del colectivo. Los dos métodos de ataque preferidos destacados por la firma de ciberseguridad fueron el archivo ejecutable de Windows SloughRAT y la herramienta de túnel inverso Ligolo, que se utilizó contra países de Oriente Medio en marzo de 2021.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelCómo protegerse a uno mismo y a su negocio
Aunque este grupo de hackers ha estado especialmente dirigido a regiones y países en todo el mundo, las amenazas cibernéticas siguen siendo algo importante a tener en cuenta tanto para individuos como para organizaciones. Con esto en mente, es importante estar preparado con software antivirus y capacitación extremadamente minuciosa para asegurarse de que los sistemas no hayan sido comprometidos y de que los empleados estén conscientes de los riesgos en línea para evitar ser víctimas.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a MuddyWater: La ciberamenaza que acecha a Medio Oriente y Asia , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados